Анальные зонды на Windows 10 и прочие приключения офисной крысы.


КУПОН
НА 1 ПОМОЩЬ,помогите пидоры,it,Windows 10,Windows,Операционная система,анальный зонд,песочница
Предистория:
Работаюофисной крысой в небольшом местном отделе  большой западной компании.
Некотороевремя назад произошло заражение зловредом EMOTET майл сервера в основнойкомпании, сразу же начали обвинять дистанционные офисы (бранчи). Началасьтотальная проверка и учет всех машин и серверов в офисах и сканы всех локалок.
На тот момент проверил наши системы сторонними улилитами: AVZ, Kasper removal tool, EmoCheck и Malwarebytes AdwCleaner - ничего найдено не было.
По указке сверху на все машиныбыли установлены следующие анальные зонды:
- WirereShark,
- N-Ablewindows agent,
-SolarWinds,
- SentinelAgent.
Немногопогуглив выяснил что же это за дьявольские приблуды, все машины оказались под жесткимколпаком – сниффят траффик и запущенные приложения, а возможно и времяактивности в приложении.  Как толькокто-то приносит ноут в офис и подключается к сети – сразу же «слышны» крики «Ойтищнегов»из главного офиса типа – «что там за машина у вас появилась – срочно анальнопокарать!», т.е. вставить вышеперечисленные зонды.
Когда шумихаспала, попытался избавиться от анальных зондов, WireSharkи агент от N-Able удалились через jv16 powertools, а вот Солнечный ветер и Sentinel– ни в какую, дело доходило до синихэкранов и полным отказом системы запускаться. Кое как систему восстановил, нозонды остались в жопе системе. Видимо утилита jv16 понадкусывала где смогла реестр и теперь Sentinel в режиме snoozed и больше не запускается никак, хотя до моих шаловливых ручек был активен.
O Virus & threat protection
Protection for your device against threats.
Sentinel Agent
Sentinel Agent is snoozed.
Current threats
Status unavailable, open Sentinel Agent for information.
Protection settings
A Sentinel Agent is snoozed.
Turn on
Protection updates
Status unavailable, open
Совсем недавноойтишнеги проснулись и начали жаловаться что не могут нащупать мой писюк мою станцию.
Прикинулся шлангоми пожаловался, что после обнов 20H2 и 21H1 были кое-какие проблемы, но думаюони что-то начали подозревать. Пришлось поставить снова анальные зонды исистема запестрила снифф-процессами как новогодняя елка.
■ocess	CPU	Private Bytes	Working Set	PID Description Company Name
riF1svchost.exe	0.06	146.900 K	149.616 K	3024 Host Process for Windows S... Microsoft Corporation
riF1svchost.exe		4.640 K	9.932 K	3032 Host Process for Windows S... Microsoft Corporation
riF1svchost.exe		5.516 K	13.664 K	3048
VI iwui.vnv
E)|7=l svchost.exe [■ ctfmon.exe [7=1 svchost.exe [7=1 svchost.exe 17=] svchost.exe
B RleCache Service Agent .exe Request HandlerAgent .exe m SecurityHealthService.exe fi=l svchost.exe [7=1 svchost.exe □ PME.Agent .exe [7=1 SgnnBroker.exe 17=1 svchost.exe [7=1 svchost.exe [7=1 Agent
Ойтишнеги покауспокоились.
Суть:
Есть идея поставитьна комп еще один ССД и накатить новую систему без анальных зондов и так-же ееобозвать, чтобы в локалке светилось точно такое-же имя станции. Подозреваюсниффер LAN на другой машине не заметит подмены (конфа не изменилась). Акогда ойтишеги забеспокоятся что нет сигнала от анального зонда – тупо перезагрузитьсяпод старой системой и сказать что у нас все норм – копайте у себя. Скорее всегоприйдется физически отключать новый ССДишник с новой системой, т.к. анальныйзонд, возможно, будет докладывать об измененной конфигурации. К счастьюойтишнеги к нам заглядывают не так часто.
Какиеподводные камни  могут встретиться натаком тернистом пути?
Пишу ваммногоуважаемые реакторчане по AnyDesk с домашего, дабы око саурона не пронюхаломорально разложившегося нутра тянувшегося в реактор за новой порцией моральнойдеградации.
З.Ы. Особосвятых и непорочных просьба не беспокоить и не писать о том, что на работе надоработать.